A從網路中取得釣魚電腦程式,仿製知名網站網址(例:Google仿製成Gougle)誘騙使用者點選,使用者點選後即會自動下載並啟用惡意軟體,記錄其登入服務資訊;並將取得的個人資料賣給他人營利。使用者B不慎點選後,遭A記錄下中文姓名、身分證字號、手機號碼、生日與信用卡卡號等資訊。A的行為可能涉及哪些犯罪行為?
涉及網路的犯罪行為(cyber crime),伴隨網路使用行為的普及而來。網路犯罪的犯罪內容若僅以「網路」作為工具,並未破壞電腦運作效能,例如:網路援交、網路販毒、網路詐欺等。這種行為構成的犯罪,端看行為人運用「網路」這個媒介所從事的行為而定[1]。而透過網路技術破壞電腦運作效能來犯罪的人,才被稱為網路駭客。駭客的目的,無論是為了炫耀/報復、竊取資料,或藉以要脅使用者,相中的多是設備中含有的珍貴資料。
駭客取得的資料,較常見的是營業秘密及個人資料。以營業秘密作為要脅籌碼的情形大多針對企業,而且通常發生在具有競爭關係的企業間對經營與產品技術資訊的爭奪,此類行為會與營業秘密法有關。但在釣魚網站騙個資的案例中,主要涉及刑法與個人資料保護法:
我國在2003年因應資訊社會的來臨,增訂了刑法「妨害電腦使用罪」章[2],新增告訴乃論的刑法第358條[3]「無故入侵電腦罪」、第359條[4]「無故取得、刪除、變更電磁紀錄罪」以及第360條[5]「無故干擾電腦罪」;與非告訴乃論的第362條[6]「無故製作與使用有害程式罪」,保障公眾與個人使用資訊設備的安全。
A透過惡意軟體記錄B輸入的登入資料,屬於無故取得他人電磁紀錄,觸犯第359條[7]「無故取得、刪除、變更電磁紀錄罪」,會面臨5年以下有期徒刑、拘役或科或併科20萬元以下罰金。
駭客取得的資料若屬於個人資料,也會違反個人資料保護法(一般簡稱「個資法」)規定。A利用惡意軟體所取得的姓名、身分證字號、生日、聯絡方式等資料足以辨識出B,屬於B的個人資料。A取得後並販售的行為,屬於意圖為自己不法利益,違反個資法第19條[8]與第20條[9]蒐集、處理與利用個人資料的規定,蒐集並利用B的個資。依個資法第41條[10],得處以5年以下有期徒刑,得併科新臺幣100萬元以下罰金。
駭客的不法行為,在實體法上均能找到相對應的法律來規範,但網路的匿名性常導致難以追溯到犯罪者。使用者在面臨網路資訊安全威脅時,亦應採取積極措施,例如:安裝防毒軟體、定期更新作業系統,並避免點選不明網頁或電子郵件中的連結,以減少電腦遭入侵的機率。
註腳